L'un des cauchemars que redoutent les administrateurs d'Active Directory est une simple erreur humaine de configuration qui peut entraîner des problèmes d'accès ou de sécurité rédhibitoires pour l'ensemble de l'organisation. J'ai toujours dit que l'une des remarques les plus troublantes que l'on puisse entendre au travail est celle d'un administrateur AD qui dit "Oups" ! Technologie vieille de près d'un quart de siècle, AD est une plateforme d'identité puissante mais complexe qui a été construite bien avant l'ère de la cyberguerre. Le renforcement d'AD contre les cyberattaques est une bataille permanente, et même les opérations de maintenance de routine peuvent déraper, entraînant des temps d'arrêt ou des risques pour la sécurité.
Pour ajouter au problème, de nombreuses organisations ne disposent pas d'un personnel compétent en matière d'AD. Les erreurs de configuration peuvent s'accumuler au fil du temps, laissant l'environnement AD avec des dizaines de vulnérabilités de sécurité, dont certaines se cachent sous la surface comme de futurs vecteurs d'attaque potentiels, et d'autres nécessitent une action immédiate.
Pour rester à l'affût des erreurs de configuration d'AD, vous avez besoin d'une stratégie complète de prévention, de détection et de réponse aux menaces d'AD. En d'autres termes, vous avez besoin d'une technologie qui vous sauvera la peau si vous exécutez accidentellement un script qui réinitialise 5 000 mots de passe - plus vite, mieux c'est.
La capacité à remédier rapidement aux problèmes de configuration est apparue comme un avantage important de Semperis Directory Services Protector (DSP) pour les clients qui ont participé au rapport Forrester Total Economic Impact of Semperis. Forester a découvert que la remédiation au niveau des objets et des groupes était 90 % plus rapide pour les clients de Semperis qui utilisent DSP.
Télécharger le rapport : Forrester Total Economic Impact of Semperis (en anglais)
L'un des clients de Semperis qui a participé à l'étude, un analyste des systèmes de réseau d'une entreprise de soins de santé, a déclaré qu'avant la mise en œuvre de DSP, l'organisation connaissait des incidents fréquents au niveau des groupes et des objets, dont la résolution nécessitait des heures d'efforts.
"Désormais, nous savons comment résoudre le problème en quelques minutes", a-t-il déclaré. "C'est le jour et la nuit.
Les participants à l'étude Forrester (représentants de cinq organisations dans les domaines de la santé, du conseil, des services financiers et de l'énergie, avec un chiffre d'affaires annuel moyen de 10 milliards de dollars) ont fait état de multiples difficultés pour atténuer les erreurs de configuration AD de routine, notamment :
- Modifications involontaires des unités organisationnelles, affectant la structure organisationnelle
- Modifications non autorisées des attributs des comptes d'utilisateurs, tels que les mots de passe et l'appartenance à des groupes.
- Suppression ou modification des groupes de sécurité, affectant les autorisations d'accès
- Compromission de comptes d'utilisateurs privilégiés ou de comptes de service
- Modifications des stratégies de groupe ayant un impact sur les paramètres de sécurité du réseau
- Mauvaises configurations involontaires qui réduisent la productivité
Comme le sait tout administrateur AD, chaque incident pris isolément peut être relativement facile à traiter. Mais dans une grande entreprise, les erreurs de configuration peuvent se multiplier et aggraver les temps d'arrêt, en particulier dans les cas où les utilisateurs sont empêchés d'accéder à des applications et services critiques ou lorsqu'un paramètre incorrect provoque un incident de sécurité. DSP peut revenir sur des erreurs plus rapidement et plus facilement que n'importe quelle autre solution sur le marché.
Semperis nous permet d'optimiser nos opérations en ce qui concerne le traitement des incidents [au niveau de l'objet et du groupe] au fur et à mesure qu'ils se présentent. Il nous donne la possibilité de rééduquer nos équipes et de les former à de nouvelles et meilleures méthodes de résolution des problèmes afin de permettre aux utilisateurs finaux de reprendre leurs activités.
Responsable de la gestion et de l'ingénierie de l'identité, entreprise de soins de santé, dans Forrester Total Economic Impact of Semperis
Les participants à l'étude Forrester ont raconté quelques anecdotes illustrant les avantages de l'utilisation de DSP pour gagner du temps dans la correction des erreurs opérationnelles :
- Dans une organisation de soins de santé, des erreurs de configuration AD se produisaient chaque semaine, affectant entre 300 et plusieurs milliers d'employés. Ces incidents nécessitaient plusieurs heures de remédiation. Après le déploiement de DSP, le temps de remédiation a été réduit à 30 minutes.
- Un responsable de la gestion et de l'ingénierie des identités dans le secteur des soins de santé a déclaré qu'avant le déploiement de DSP, la résolution des problèmes de contrôle d'accès basé sur les rôles prenait plusieurs jours à six experts AD. Avec la mise en place de DSP , cet effort a été réduit à environ 2 heures et n'a nécessité que deux membres de l'équipe.
- Le responsable de l'architecture des serveurs d'une entreprise du secteur de l'énergie a indiqué qu'avant de déployer DSP, son équipe avait mis jusqu'à 8 heures pour remédier à une erreur liée à AD. En utilisant les capacités de récupération au niveau des objets et des groupes de DSP, ils ont réduit ce temps à 30 minutes pour résoudre complètement le problème et permettre aux utilisateurs de reprendre leurs activités.
Les participants ont indiqué que l'utilisation de DSP avait permis de réduire le temps de remédiation de 90 %. Dans son rapport, Forrester estime qu'en moyenne 1 % de l'effectif total de l'organisation a été affecté par un incident majeur au niveau d'un objet ou d'un groupe, que chaque incident a causé environ 5 heures de temps d'arrêt et que les participants à l'étude ont connu en moyenne 25 incidents de ce type par an. Forrester a conclu que les organisations présentant des caractéristiques similaires réaliseraient des économies d'environ 4,3 millions de dollars sur trois ans.
Les erreurs de configuration d'AD coûtent du temps et de l'argent
Chaque mauvaise configuration AD peut retarder l'accès aux ressources ou ouvrir la porte à des vulnérabilités en matière de sécurité, ce qui nécessite du temps et de l'expertise pour y remédier. L'étude de Forrester souligne l'impact potentiel des erreurs de configuration accumulées et l'avantage immédiat de la mise en œuvre de DSP pour aider à remédier aux incidents au niveau des objets et des groupes.
Pour approfondir les exemples d'économies liées à la réduction du temps de remédiation des vulnérabilités AD, consultez le rapport TEI de Forrester. (Et si vous cherchez un moyen rapide d'évaluer les vulnérabilités de votre propre environnement, téléchargez Purple Knightun outil gratuit de Semperis qui analyse plus de 150 IOE et IOC et fournit un rapport de sécurité global).